Hacking Với Kali Linux Nâng Cao (PreOSCP) Phần 3.1 và 3.2
Security365
Tháng mười một 23, 2024
PreOSCP

3. Giới thiệu về An ninh mạng

Giới thiệu : Đây là tài liệu hỗ trợ cho các bạn đang ôn thi lấy chứng chỉ OSCP hay muốn tìm hiểu về hacking hay pentesting với Kali Linux, và cả các Linux Distro dành cho kiểm thử bảo mật khác như Parrot OS Security, BlackArc. Nhưng Kali Linux vẫn là yếu tố chủ đạo của tài liệu này. Mặc dù được biên soạn và tổng hợp từ giáo trình chính thức nhưng đây chỉ là tài liệu PreOSCP, để học và thi chính thức các bạn nên đăng kí học và thi chính hãng để có tài liệu, video , lab thực hành trực tuyến. Hoặc đăng kí học và thi OSCP qua đối tác của OffSec tại Việt Nam là IPMAC.

Ngoài ra, các bạn có thể tham gia khóa học trực tuyến EHacking Với Kali Linux hay Học & Thi Chứng Chỉ Quốc Tế CompTIA Security + (học và thực hành trên lab online kèm video + guide chính hãng, đây là khóa học rất tiết kiệm phí , với giá gốc lên đến 787 $). Sau đó là PreOSCP và đăng kí học và thi chính thức OSCP

Chúng ta sẽ đề cập đến các Đơn vị học tập sau trong Mô-đun này:

  • Thực hành an ninh mạng
  • Các mối đe dọa và tác nhân đe dọa
  • Bộ ba CIA
  • Nguyên tắc, Kiểm soát và Chiến lược Bảo mật
  • Luật, Quy định, Tiêu chuẩn và Khung về An ninh mạng
  • Cơ hội nghề nghiệp trong lĩnh vực an ninh mạng

Module này được thiết kế để cung cấp cho người học, bất kể trình độ hoặc kinh nghiệm hiện tại, hiểu biết vững chắc về các nguyên tắc cơ bản của an ninh mạng. Module này dành cho nhiều cá nhân, từ nhân viên làm việc liên quan đến công nghệ thông tin hoặc quản lý nhóm kỹ thuật cho đến người học mới bắt đầu trong lĩnh vực an ninh thông tin có tính năng động cao.

Hoàn thành Mô-đun này sẽ giúp người học xây dựng nền tảng kiến ​​thức hữu ích để tiến tới các Mô-đun thực hành, mang tính kỹ thuật hơn.

Trong suốt Module này, chúng ta sẽ xem xét một số ví dụ gần đây về các cuộc tấn công mạng và phân tích tác động của chúng cũng như các bước phòng ngừa hoặc giảm thiểu tiềm năng. Chúng tôi cũng sẽ cung cấp nhiều liên kết đến các bài viết, tài liệu tham khảo và tài nguyên để khám phá trong tương lai. Vui lòng xem lại các liên kết này để biết thêm bối cảnh và sự rõ ràng.

3.1. Thực hành an ninh mạng

Đơn vị học tập này bao gồm các Mục tiêu sau:

  • Nhận ra những thách thức đặc biệt đối với an ninh thông tin
  • Hiểu cách an ninh "tấn công" và "phòng thủ" phản ánh lẫn nhau
  • Bắt đầu xây dựng mô hình tinh thần về tư duy hữu ích áp dụng cho an ninh thông tin

3.1.1. Thách thức trong an ninh mạng

An ninh mạng đã nổi lên như một ngành học độc đáo và không phải là một lĩnh vực phụ hay lĩnh vực ngách của kỹ thuật phần mềm hay quản trị hệ thống. Có một số đặc điểm riêng biệt của an ninh mạng giúp phân biệt nó với các lĩnh vực kỹ thuật khác. Đầu tiên, an ninh liên quan đến các tác nhân độc hại và thông minh (tức là đối thủ).

Vấn đề đối phó với đối thủ thông minh đòi hỏi một cách tiếp cận, kỷ luật và tư duy khác so với việc đối mặt với một vấn đề tự nhiên hoặc tình cờ. Cho dù chúng ta đang mô phỏng một cuộc tấn công hay phòng thủ chống lại một cuộc tấn công, chúng ta sẽ cần xem xét quan điểm và hành động tiềm tàng của đối thủ và cố gắng dự đoán những gì họ có thể làm. Bởi vì đối thủ của chúng ta là con người có khả năng tự chủ , họ có thể lý luận, dự đoán, phán đoán, phân tích, suy đoán và cân nhắc. Họ cũng có thể cảm thấy những cảm xúc như hạnh phúc, buồn bã, tham lam, sợ hãi, chiến thắng và tội lỗi. Cả kẻ tấn công và người phòng thủ đều có thể tận dụng cảm xúc của đối thủ là con người. Ví dụ, kẻ tấn công có thể dựa vào sự xấu hổ bằng cách bắt giữ một hệ thống máy tính làm con tin và đe dọa sẽ công bố dữ liệu của hệ thống đó. Trong khi đó, người phòng thủ có thể tận dụng nỗi sợ hãi để ngăn cản kẻ tấn công xâm nhập vào mạng của họ. Thực tế này có nghĩa là con người là một thành phần quan trọng của an ninh mạng.

Một khía cạnh quan trọng khác của an ninh là nó thường liên quan đến lý luận trong điều kiện không chắc chắn . Mặc dù chúng ta có nhiều kỹ năng suy diễn, nhưng chúng ta không có nghĩa là toàn năng về mặt tinh thần. Chúng ta không thể xác định mọi thứ theo sau một chân lý nhất định và chúng ta không thể biết hoặc nhớ vô số sự kiện.

Hãy xem xét một trò chơi như cờ vua khác với một trò chơi như poker như thế nào. Trong cờ vua, bạn biết mọi thứ mà đối thủ của bạn làm về trạng thái trò chơi (và ngược lại). Bạn có thể không biết họ đang nghĩ gì, nhưng bạn có thể đưa ra dự đoán về nước đi tiếp theo của họ dựa trên cùng thông tin mà họ đang sử dụng để xác định. Tuy nhiên, khi chơi poker, bạn không có tất cả thông tin mà đối thủ của bạn sở hữu, vì vậy bạn phải đưa ra dự đoán dựa trên dữ liệu không đầy đủ.

Khi xem xét quan điểm tinh thần của kẻ tấn công và người bảo vệ, bảo mật thông tin gần với trò poker hơn là cờ vua. Ví dụ, khi chúng ta mô phỏng một cuộc tấn công, chúng ta sẽ không bao giờ biết mọi thứ cần biết về máy móc/hệ thống/mạng lưới/tổ chức mà chúng ta đang nhắm tới. Do đó, chúng ta phải đưa ra các giả định và ước tính xác suất, đôi khi ngầm định và đôi khi rõ ràng.

Ngược lại, với tư cách là người bảo vệ, chúng ta sẽ không nhận thức được mọi vectơ tấn công tiềm ẩn hoặc lỗ hổng mà chúng ta có thể phải đối mặt. Do đó, chúng ta cần phải phòng ngừa rủi ro và đảm bảo rằng các bề mặt tấn công có nhiều khả năng bị tổn thương nhất của chúng ta được bảo vệ đầy đủ.

Vấn đề về kẻ thù thông minh và vấn đề bất định đều cho thấy rằng việc hiểu an ninh mạng đòi hỏi phải tìm hiểu thêm về cách chúng ta suy nghĩ như những tác nhân con người và cách giải quyết vấn đề. Điều này có nghĩa là chúng ta sẽ cần áp dụng và nuôi dưỡng những tư duy cụ thể sẽ giúp chúng ta khi chúng ta học và áp dụng các kỹ năng của mình.

3.1.2. Đôi điều về Tư Duy

Bảo mật không chỉ là hiểu biết về công nghệ và mã mà còn là hiểu biết về tâm trí của chính bạn và đối thủ của bạn. Chúng ta có xu hướng nghĩ về tư duy như một tập hợp các niềm tin hình thành nên quan điểm cá nhân của chúng ta về một điều gì đó.

Hai ví dụ tương phản về tư duy phổ biến là tư duy cố định và tư duy phát triển .

Một cá nhân có tư duy cố định tin rằng kỹ năng/tài năng/khả năng học tập của họ đã là như vậy và không có lợi ích gì khi cố gắng cải thiện.

Mặt khác, tư duy phát triển khuyến khích niềm tin rằng khả năng tinh thần là linh hoạt và thích nghi, và rằng người ta có thể phát triển khả năng học hỏi của mình theo thời gian.

Nghiên cứu cho thấy rằng, ví dụ, một tư duy mà chúng ta tin rằng mình có khả năng phục hồi sau một sai lầm khiến chúng ta làm tốt hơn đáng kể. Đây chỉ là một khía cạnh của tư duy phát triển, nhưng lại là một khía cạnh quan trọng. Điều này là do sự an toàn đòi hỏi chúng ta phải phạm sai lầm và học hỏi từ chúng, đồng thời liên tục học hỏi và đánh giá lại.

Một tư duy cực kỳ giá trị khác là tư duy bảo mật được đặt ra một cách khéo léo . Được đề xuất bởi nhà nghiên cứu bảo mật Bruce Schneier . Tư duy này khuyến khích việc liên tục đặt câu hỏi về cách một người có thể tấn công (hoặc phòng thủ) một hệ thống. Nếu chúng ta có thể bắt đầu tự động đặt câu hỏi này khi gặp phải một ý tưởng, máy móc, hệ thống, mạng hoặc đối tượng mới lạ, chúng ta có thể bắt đầu nhận thấy một loạt các mẫu lặp lại.

Tại Security365, chúng tôi khuyến khích người học áp dụng tư duy "Cố gắng hơn" . Để hiểu rõ hơn về tư duy này, chúng ta hãy nhanh chóng xem xét hai góc nhìn tiềm năng trong khoảnh khắc "thất bại".

  1. Nếu cuộc tấn công hoặc phòng thủ của tôi thất bại, điều đó phản ánh sự thật về các kỹ năng/quy trình/cấu hình/cách tiếp cận hiện tại của tôi cũng như sự thật về hệ thống.
  2. Nếu cuộc tấn công hoặc phòng thủ của tôi thất bại, điều này cho phép tôi học được điều gì đó mới, thay đổi cách tiếp cận và hành động khác đi.

Hai góc nhìn này giúp cung cấp cho một người sức mạnh tinh thần để phạm sai lầm và học hỏi từ chúng, điều này rất cần thiết trong bất kỳ lĩnh vực an ninh mạng nào. Bạn có thể tìm thêm thông tin về cách học và tư duy Cố gắng hơn trong Mô-đun "Chiến lược học tập hiệu quả" là một phần của Lộ trình học tập nhập môn này.

3.1.3. Về việc bắt chước trí tuệ của đối thủ

Thật đáng để để xem xét sự chú ý đặc biệt mà chúng ta sẽ dành cho khía cạnh tấn công của bảo mật, ngay cả trong nhiều khóa học và Mô-đun phòng thủ của OSCP. Người ta có thể tự hỏi tại sao một chuyên gia an ninh mạng có mối quan tâm và mục tiêu chính là bảo vệ mạng lưới, tổ chức hoặc chính phủ cũng nên học khía cạnh tấn công.

Hãy lấy ví dụ về một vị vua thời trung cổ đang xây dựng một lâu đài. Nếu vị vua biết rằng kẻ thù của mình có máy bắn đá có khả năng ném những tảng đá lớn, họ có thể thiết kế lâu đài của mình có những bức tường dày hơn. Tương tự như vậy, nếu kẻ thù của họ được trang bị thang, vị vua có thể cung cấp cho quân lính của mình các công cụ để đẩy thang ra khỏi tường.

Càng biết nhiều về kẻ tấn công tiềm năng và càng có thể suy nghĩ như một kẻ tấn công , thì khả năng phòng thủ của chúng càng tốt. Quân chủ có thể tham gia vào các hoạt động hoặc kiểm toán "tấn công" để hiểu được những lỗ hổng trong khả năng phòng thủ của chính mình. Ví dụ, chúng có thể tiến hành "trò chơi chiến tranh" trong đó chúng chỉ đạo binh lính của mình chiến đấu giả với nhau, giúp chúng hiểu đầy đủ về khả năng và tiềm năng hủy diệt của kẻ tấn công thực sự. Điều này có thể thực hành trên những hệ thống CyberRange.

Trong an ninh mạng, các doanh nghiệp có thể thuê một cá nhân hoặc một công ty để thực hiện kiểm tra thâm nhập, còn được gọi là pentest . Người kiểm tra thâm nhập đóng vai trò là kẻ tấn công để hiểu rõ hơn về các lỗ hổng và điểm yếu của hệ thống.

Tận dụng các kỹ năng và tư duy của kẻ tấn công cho phép chúng ta trả lời tốt hơn các câu hỏi như:

  • "Kẻ tấn công có thể truy cập bằng cách nào?"
  • "Họ có thể làm gì với quyền truy cập đó?" - "Hậu quả tồi tệ nhất có thể xảy ra sau một cuộc tấn công là gì?"

Trong khi việc học các kỹ năng hack (tất nhiên) là điều cần thiết đối với những người thử nghiệm xâm nhập đầy tham vọng, chúng tôi cũng tin rằng những người bảo vệ, quản trị viên hệ thống và nhà phát triển cũng sẽ được hưởng lợi rất nhiều từ ít nhất một nền giáo dục sơ lược về các kỹ thuật và công nghệ tấn công.

Ngược lại, theo kinh nghiệm của chúng tôi, nhiều chuyên gia kiểm tra xâm nhập và tin tặc ứng dụng web giỏi nhất là những người có kinh nghiệm sâu rộng trong việc bảo vệ mạng, xây dựng ứng dụng web hoặc quản trị hệ thống.

3.2. Các mối đe dọa và tác nhân đe dọa

Đơn vị học tập này bao gồm các Mục tiêu học tập sau:

  • Hiểu cách những kẻ tấn công và những người phòng thủ học hỏi lẫn nhau
  • Hiểu được sự khác biệt giữa rủi ro, mối đe dọa, lỗ hổng và khai thác
  • Liệt kê và mô tả các lớp tác nhân đe dọa khác nhau
  • Nhận biết một số cuộc tấn công an ninh mạng gần đây
  • Tìm hiểu cách các cuộc tấn công và mối đe dọa độc hại có thể tác động đến một tổ chức và cá nhân

Thuật ngữ an ninh mạng được sử dụng rộng rãi từ nguồn gốc quân sự. Để rõ ràng, chúng tôi sẽ sử dụng an ninh mạng để mô tả việc bảo vệ quyền truy cập và thông tin cụ thể trên Internet hoặc các mạng kỹ thuật số khác. Mặc dù được bao gồm trong bối cảnh rộng hơn của an ninh mạng, an ninh thông tin cũng xem xét việc bảo vệ các tài sản lưu trữ thông tin vật lý, chẳng hạn như máy chủ hoặc kho lưu trữ vật lý.

Khi chúng ta khám phá các mối đe dọa và tác nhân đe dọa khác nhau trong suốt Mô-đun này, chúng ta sẽ chủ yếu xem xét khả năng trực tuyến của chúng. Do đó, chúng ta thường sử dụng thuật ngữ an ninh mạng ở đây, nhưng sẽ không quá quan tâm đến việc sử dụng bảo mật thông tin như một từ đồng nghĩa.

3.2.1. Sự tiến hóa của tấn công và phòng thủ

An ninh mạng có thể đặc biệt hấp dẫn vì nó liên quan đến nhiều tác nhân cố gắng đạt được các kết quả loại trừ lẫn nhau. Trong ví dụ cơ bản nhất, một bên bảo vệ muốn kiểm soát quyền truy cập vào tài sản mà họ sở hữu và một bên tấn công muốn giành quyền kiểm soát cùng một tài sản. Điều này rất thú vị vì cả hai vai trò, bên bảo vệ và bên tấn công, đều tồn tại dựa trên sự kiên trì liên tục của bên kia. Đặc biệt, mỗi bên sẽ trở nên thành thạo và tinh vi hơn nhờ những nỗ lực (hoặc nỗ lực tưởng tượng) của bên kia.

Mối quan hệ động giữa kẻ tấn công và người phòng thủ giúp giải thích cơ bản tại sao an ninh mạng trở nên phức tạp hơn theo thời gian. Để hiểu rõ hơn về mối quan hệ động này, chúng ta hãy giới thiệu các nhân vật hư cấu Alice và Bob. Chúng ta sẽ thường xuyên sử dụng chúng trong Kali Linux và tài liệu về mật mã trong nhiều bối cảnh khác nhau để chứng minh các ví dụ và thí nghiệm tư duy.

Đối với câu chuyện cụ thể này, hãy tưởng tượng rằng Bob có một tài sản mà anh ta muốn bảo vệ: một cây chuối tuyệt vời! Bob muốn đảm bảo rằng chỉ mình anh ta mới có thể hái chuối của nó. Trong khi đó, kẻ tấn công Alice chỉ muốn ăn cắp chuối của Bob.

Đầu tiên, Bob không chú ý đặc biệt đến sự an toàn của cây. Alice có thể dễ dàng đi đến đó và ăn trộm một quả chuối. Tuy nhiên, khi Alice ngày càng giỏi hơn trong việc ăn trộm, Bob cũng sẽ giỏi hơn trong việc bảo vệ cây của mình.

Khi Bob lần đầu nhận ra sự phản bội của Alice, anh ta biết rằng việc đứng canh gác ngăn cản Alice cố gắng ăn trộm chuối. Nhưng Alice đưa ra giả thuyết rằng Bob phải ngủ vào một lúc nào đó. Cô ấy chú ý đến thời điểm Bob đi ngủ, sau đó lặng lẽ lẻn lên cây để ăn trộm.

Sau đó, Bob tìm ra cách xây một bức tường đá cao xung quanh cây. Alice vật lộn để phá vỡ nó hoặc trèo qua nó. Cuối cùng, cô ấy học được cách đào dưới bức tường.

Tiếp theo, Bob huấn luyện một chú chó bảo vệ để bảo vệ cây. Alice biết rằng cô có thể xoa dịu chú chó bằng đồ ăn.

Bob tham gia khóa học bảo mật phần cứng và lắp đặt camera và báo động để cảnh báo anh bất cứ khi nào Alice ở gần. Alice học cách vô hiệu hóa camera và báo động.

Chu kỳ này có thể tiếp tục gần như vô thời hạn. Thật kỳ lạ, cả người tấn công và người phòng thủ đều phụ thuộc vào nhau để nâng cao kỹ năng và hiểu rõ hơn về nghề của mình.

Chúng ta có thể đưa phép loại suy này đi xa hơn để bao gồm các khía cạnh tuân thủ và quản lý rủi ro của an ninh. Vào một thời điểm nào đó, Bob chấp nhận rủi ro rằng Alice có thể ăn trộm chuối và quyết định mua bảo hiểm. Nhưng bảo hiểm chuối của anh ta sẽ không chi trả cho chuối bị đánh cắp trừ khi anh ta tuân thủ các yêu cầu của họ về giảm thiểu rủi ro, bao gồm việc có một bức tường vững chắc và một con chó bảo vệ.

3.2.2. Rủi ro, Mối đe dọa, Điểm yếu và Khai thác

Giống như nhiều lĩnh vực kỹ thuật khác, an ninh mạng dựa vào một lượng lớn thuật ngữ chuyên ngành, từ viết tắt và chữ viết tắt. Trong suốt tài liệu này, chúng tôi sẽ cố gắng giới thiệu các thuật ngữ và từ vựng khi chúng xuất hiện một cách tự nhiên. Tuy nhiên, trước khi tìm hiểu về các lý thuyết và nguyên tắc an ninh mạng khác nhau, điều quan trọng là phải định nghĩa một số thuật ngữ để chúng ta có thể theo dõi những gì mình đang học. Hãy bắt đầu bằng cách xem xét sơ qua một số khái niệm cơ bản mà an ninh mạng đề cập đến : rủi ro, mối đe dọa, lỗ hổng và khai thác.

Thuật ngữ cơ bản nhất trong bốn thuật ngữ này là rủi ro vì nó áp dụng cho nhiều lĩnh vực ngoài an ninh mạng và công nghệ thông tin. Một cách đơn giản để định nghĩa rủi ro là xem xét hai trục: khả năng xảy ra sự kiện tiêu cực và tác động đến thứ mà chúng ta coi trọng nếu sự kiện đó xảy ra. Định nghĩa này cho phép chúng ta khái niệm hóa rủi ro thông qua bốn góc phần tư:

  1. Các sự kiện có xác suất thấp, tác động thấp
  2. Sự kiện có xác suất thấp, tác động cao
  3. Các sự kiện có xác suất cao, tác động thấp
  4. Sự kiện có xác suất cao, tác động lớn

Là chuyên gia an ninh mạng, chúng ta nên luôn cân nhắc rủi ro bằng cách xem xét các câu hỏi:

  • Khả năng một cuộc tấn công cụ thể có thể xảy ra là bao nhiêu?
  • Hậu quả tồi tệ nhất có thể xảy ra nếu cuộc tấn công xảy ra là gì?

Khi chúng ta có thể quy một rủi ro cụ thể cho một nguyên nhân cụ thể, chúng ta đang mô tả một mối đe dọa . Trong an ninh mạng, mối đe dọa là thứ gây ra rủi ro cho tài sản mà chúng ta quan tâm bảo vệ. Không phải tất cả các mối đe dọa đều là con người; nếu mạng của chúng ta phụ thuộc vào lưới điện địa phương, một cơn giông sét nghiêm trọng có thể là mối đe dọa đối với các hoạt động đang diễn ra của hệ thống.

Tuy nhiên, trong nhiều trường hợp, chúng tôi tập trung vào các mối đe dọa của con người, bao gồm các chương trình độc hại do con người tạo ra. Một cá nhân hoặc một nhóm người hiện thân cho một mối đe dọa được gọi là tác nhân đe dọa , một thuật ngữ biểu thị cho sự chủ động, động cơ và trí thông minh. Chúng ta sẽ tìm hiểu thêm về các loại tác nhân đe dọa khác nhau trong phần tiếp theo.

Để một mối đe dọa trở thành rủi ro thực sự, mục tiêu bị đe dọa phải dễ bị tổn thương theo một cách nào đó. Điểm yếu là một khiếm khuyết cho phép mối đe dọa gây hại. Không phải tất cả các khiếm khuyết đều là điểm yếu. Để lấy một ví dụ không liên quan đến an ninh, hãy tưởng tượng một cây cầu. Một cây cầu có thể có một số khiếm khuyết về mặt thẩm mỹ; có thể một số viên gạch lát bị trầy xước hoặc không hoàn toàn thẳng. Tuy nhiên, những khiếm khuyết này không phải là điểm yếu vì chúng không gây ra bất kỳ rủi ro nào làm hỏng cây cầu. Mặt khác, nếu cây cầu  khiếm khuyết về mặt kết cấu trong quá trình xây dựng, thì nó có thể dễ bị tổn thương trước các mối đe dọa cụ thể như quá tải hoặc gió quá mạnh.

Hãy cùng xem xét một ví dụ. Vào tháng 12 năm 2021 , một lỗ hổng đã được phát hiện trong thư viện Apache Log4J , một thư viện ghi nhật ký phổ biến dựa trên Java. Lỗ hổng này có thể dẫn đến việc thực thi mã tùy ý bằng cách tận dụng tính năng bộ công cụ Java JNDI , theo mặc định, cho phép các yêu cầu tải xuống để làm phong phú thêm việc ghi nhật ký. Nếu một tệp Java hợp lệ được tải xuống, chương trình này sẽ được máy chủ thực thi. Điều này có nghĩa là nếu dữ liệu đầu vào do người dùng cung cấp (chẳng hạn như tên người dùng hoặc tiêu đề HTTP) không được khử trùng đúng cách trước khi ghi nhật ký, thì có thể khiến máy chủ tải xuống tệp Java độc hại cho phép người dùng từ xa, không được ủy quyền thực thi các lệnh trên máy chủ.

Do thư viện Log4j rất phổ biến, lỗ hổng này đã được xếp hạng cao nhất có thể theo Hệ thống chấm điểm lỗ hổng chung (CVSS) được sử dụng để chấm điểm lỗ hổng: 10.0 Nghiêm trọng. Xếp hạng này dẫn đến hậu quả điên cuồng bao gồm các nhà cung cấp, công ty và cá nhân tranh giành để xác định và vá các hệ thống dễ bị tấn công cũng như tìm kiếm dấu hiệu xâm phạm. Các lỗ hổng Log4J bổ sung đã được phát hiện ngay sau đó, làm trầm trọng thêm vấn đề.

Lỗ hổng này có thể được ngăn ngừa bằng cách đảm bảo dữ liệu do người dùng cung cấp được khử trùng đúng cách. Vấn đề có thể được giảm thiểu bằng cách đảm bảo các tính năng có khả năng gây nguy hiểm (như cho phép yêu cầu web và thực thi mã) bị vô hiệu hóa theo mặc định.

Trong các chương trình máy tính, lỗ hổng xảy ra khi một người tương tác với chương trình có thể đạt được các mục tiêu cụ thể mà lập trình viên không mong muốn. Khi các mục tiêu này cung cấp cho người dùng quyền truy cập hoặc đặc quyền mà họ không được phép có và khi chúng được theo đuổi một cách cố ý và ác ý, hành động của người dùng trở thành một hành vi khai thác .

Từ exploit trong an ninh mạng có thể được sử dụng như một danh từ và như một động từ. Là một danh từ, exploit là một thủ tục để lợi dụng một lỗ hổng cụ thể. Là một động từ, exploit là thực hiện thủ tục lạm dụng lỗ hổng đó một cách đáng tin cậy.

Chúng ta hãy kết thúc phần này bằng cách khám phá các bề mặt và vectơ tấn công. Một bề mặt tấn công mô tả tất cả các điểm tiếp xúc trên hệ thống hoặc mạng của chúng ta có thể dễ bị khai thác. Một vectơ tấn công là một sự kết hợp giữa lỗ hổng và khai thác cụ thể có thể thúc đẩy mục tiêu của tác nhân đe dọa. Bên phòng thủ cố gắng giảm thiểu bề mặt tấn công của họ càng nhiều càng tốt, trong khi bên tấn công cố gắng thăm dò một bề mặt tấn công nhất định để xác định các vectơ tấn công đầy hứa hẹn.

3.2.3. Phân loại tác nhân đe dọa

Phần trước đã giới thiệu về các mối đe dọa và tác nhân đe dọa. Các chuyên gia an ninh mạng chủ yếu quan tâm đến các tác nhân đe dọa vì thông thường, hầu hết các mối đe dọa mà hệ thống, mạng và doanh nghiệp của chúng ta dễ bị tổn thương đều là con người. Một số thuộc tính chính của tội phạm mạng so với tội phạm thực tế bao gồm tính ẩn danh tương đối, khả năng thực hiện các cuộc tấn công từ xa và (thường là) không có nguy cơ vật lý và chi phí tiền tệ.

Có rất nhiều tác nhân đe dọa. Những người và nhóm khác nhau có nhiều mức độ tinh vi về kỹ thuật, nguồn lực, động cơ cá nhân khác nhau và nhiều hệ thống pháp lý và đạo đức hướng dẫn hành vi của họ. Mặc dù chúng tôi không thể liệt kê hết mọi loại tác nhân đe dọa, nhưng có một số phân loại cấp cao cần lưu ý:

Các tác nhân độc hại cá nhân : Ở mức độ hời hợt nhất, bất kỳ ai cố gắng làm điều gì đó mà họ không được phép làm đều nằm trong danh mục này. Trong an ninh mạng, các tác nhân độc hại có thể khám phá các chiến thuật kỹ thuật số mà các nhà phát triển không mong muốn, chẳng hạn như xác thực các dịch vụ bị hạn chế, đánh cắp thông tin đăng nhập và làm hỏng trang web.

Trường hợp của Paige Thompson là một ví dụ về cách một kẻ tấn công cá nhân có thể gây ra thiệt hại và mất mát cực lớn. Vào tháng 7 năm 2019, Thompson đã bị bắt vì khai thác một bộ định tuyến có đặc quyền cao không cần thiết để tải xuống thông tin cá nhân của 100 triệu người từ Capital One. Cuộc tấn công này dẫn đến mất thông tin cá nhân bao gồm SSN, số tài khoản, địa chỉ, số điện thoại, địa chỉ email, v.v.

Cuộc tấn công này một phần được kích hoạt bởi Tường lửa ứng dụng web (WAF) được cấu hình sai có quá nhiều quyền cho phép nó liệt kê và đọc tệp. Cuộc tấn công có thể được ngăn chặn bằng cách áp dụng nguyên tắc đặc quyền tối thiểu và xác minh cấu hình chính xác của WAF. Vì kẻ tấn công đã đăng về hành động của họ trên phương tiện truyền thông xã hội, một biện pháp giảm thiểu khác có thể bao gồm giám sát phương tiện truyền thông xã hội.

Nhóm độc hại : Khi các cá nhân tập hợp lại để thành lập nhóm, họ thường trở nên mạnh hơn các thành viên nhóm riêng lẻ của họ. Điều này thậm chí còn đúng hơn khi trực tuyến vì khả năng giao tiếp tức thời và ở khoảng cách xa cho phép mọi người đạt được các mục tiêu mà không thể thực hiện được nếu không có các công cụ giao tiếp mạnh mẽ như vậy. Ví dụ, khả năng phối hợp nhanh chóng về việc ai làm gì qua các dịch vụ nhắn tin tức thời cũng có giá trị đối với các nhóm mạng độc hại như đối với các doanh nghiệp hiện đại. Các nhóm độc hại có thể có bất kỳ số lượng mục tiêu nào nhưng thường có mục đích, có tổ chức và tháo vát hơn các cá nhân. Do đó, chúng thường được coi là một trong những tác nhân đe dọa nguy hiểm hơn.

Hãy cùng xem xét một ví dụ về một cuộc tấn công do nhóm chỉ huy. Trong khoảng thời gian vài tháng, nhóm "Lapsus$" đã thực hiện một số cuộc tấn công vào nhiều công ty khác nhau, đánh cắp thông tin độc quyền và tham gia vào hoạt động tống tiền. Các cuộc tấn công này dẫn đến mất dữ liệu của công ty - bao gồm dữ liệu độc quyền như mã nguồn, sơ đồ và các tài liệu khác. Các cuộc tấn công này còn dẫn đến việc công khai dữ liệu và gây tổn thất tài chính cho các công ty đã bị tống tiền.

Sự đa dạng và tinh vi của các kỹ thuật mà nhóm này sử dụng cho thấy loại tác nhân độc hại này có thể nguy hiểm đến thế nào. Đặc biệt, các cá nhân trong một nhóm có thể mang những chuyên môn của riêng họ vào cuộc mà những người làm việc một mình không thể tận dụng được. Ngoài ra, họ có thể tung ra nhiều loại tấn công khác nhau vào các mục tiêu với khối lượng và tốc độ mà một cá nhân không thể làm được. Có một sự thật hiển nhiên trong ngành an ninh mạng là kẻ tấn công chỉ cần thành công một lần, trong khi người phòng thủ phải thành công mọi lúc. Hiệu quả của các nhóm kẻ tấn công làm nổi bật sự bất đối xứng này.

Chỉ có một số ít biện pháp giảm thiểu có mục tiêu khả dụng cho nhiều loại vectơ tấn công như vậy. Vì tuyển dụng nhân viên là một trong những kỹ thuật được sử dụng, nên nhận thức về các tác nhân đe dọa nội bộ và phát hiện bất thường là chìa khóa. Palo Alto Networks cũng đề xuất tập trung vào các biện pháp bảo mật tốt nhất như MFA, kiểm soát truy cập và phân đoạn mạng.

Mối đe dọa nội gián : Có lẽ là một trong những loại tác nhân đe dọa nguy hiểm nhất, mối đe dọa nội gián là bất kỳ ai đã có quyền truy cập đặc quyền vào một hệ thống và có thể lạm dụng quyền của họ để tấn công hệ thống đó. Thông thường, mối đe dọa nội gián là các cá nhân hoặc nhóm nhân viên hoặc cựu nhân viên của một doanh nghiệp có động cơ gây hại cho doanh nghiệp theo một cách nào đó. Mối đe dọa nội gián có thể rất nguy hiểm vì chúng thường được cho là có một mức độ tin cậy nhất định. Sự tin cậy đó có thể bị lợi dụng để có thêm quyền truy cập vào các nguồn lực hoặc những tác nhân này có thể chỉ đơn giản là có quyền truy cập vào kiến ​​thức nội bộ không được công khai.

Trong thời gian thiếu hụt PPE vào tháng 3 năm 2020 khi đại dịch COVID-19 bắt đầu bùng phát, Christopher Dobbins, người vừa bị sa thải khỏi vị trí Phó chủ tịch của một công ty đóng gói y tế, đã sử dụng một tài khoản giả mà anh ta tạo trong thời gian làm việc để truy cập vào hệ thống của công ty và thay đổi/xóa dữ liệu quan trọng đối với việc phân phối vật tư y tế của công ty.

Cuộc tấn công này dẫn đến việc giao hàng chậm trễ các vật tư y tế quan trọng vào giai đoạn quan trọng của đại dịch và làm gián đoạn hoạt động vận chuyển rộng hơn của công ty. Mối nguy hiểm của mối đe dọa nội gián được thể hiện ở đây. Cuộc tấn công được kích hoạt bởi một tài khoản giả do phó chủ tịch tạo ra, người có thể có quyền truy cập vào nhiều quyền hơn những gì có thể được coi là thông lệ tốt nhất đối với một phó chủ tịch tài chính.

Cuộc tấn công này có thể đã được ngăn chặn bằng cách áp dụng nguyên tắc đặc quyền tối thiểu , mà chúng ta sẽ khám phá trong phần sau. Vì cuộc tấn công được kích hoạt bởi một tài khoản giả, nên nó cũng có thể được ngăn chặn bằng cách kiểm tra chặt chẽ các tài khoản. Cuối cùng, vì hoạt động này được thực hiện sau khi VP chấm dứt, nên việc giám sát tốt hơn các hoạt động bất thường cũng có thể ngăn chặn hoặc giảm nhẹ cuộc tấn công.

Quốc gia dân tộc : Mặc dù chính trị mạng quốc tế, chiến tranh mạng và tình báo số là những chủ đề rộng lớn và vượt xa phạm vi của Mô-đun này, chúng ta nên thừa nhận rằng một số tổ chức tấn công mạng thành thạo, tháo vát và được tài trợ tốt nhất hiện đang hoạt động ở cấp quốc gia dân tộc tại nhiều quốc gia khác nhau trên toàn cầu.

Kể từ năm 2009, các tác nhân đe dọa từ Triều Tiên, thường được nhóm lại dưới cái tên Lazarus , đã tham gia vào một số cuộc tấn công khác nhau, từ trộm dữ liệu (Sony, 2014) đến ransomware (WannaCry, 2017) đến trộm tài chính nhắm vào các ngân hàng (Ngân hàng Bangladesh, 2016) và tiền điện tử - đáng chú ý là cuộc tấn công Axie Infinity năm 2022. Các cuộc tấn công này đã dẫn đến mất mát và rò rỉ dữ liệu của công ty, bao gồm dữ liệu độc quyền (Sony) và tổn thất tài chính cho các công ty đã trả tiền chuộc.

Một công ty đảm bảo thông tin có tên NCC Group gợi ý các bước sau đây để ngăn ngừa hoặc giảm thiểu các cuộc tấn công từ nhóm Lazarus: phân đoạn mạng, vá và cập nhật các tài nguyên hướng đến internet, đảm bảo triển khai đúng MFA, theo dõi hành vi bất thường của người dùng (ví dụ: nhiều phiên đồng thời từ các vị trí khác nhau), đảm bảo ghi nhật ký đầy đủ và phân tích nhật ký.

3.2.4. Các vi phạm an ninh mạng gần đây

Trong khi phần trên tập trung vào những người thực hiện các cuộc tấn công, trong phần này chúng tôi sẽ đề cập đến các loại vi phạm khác nhau đã xảy ra trong vài năm qua. Chúng tôi sẽ phân tích một số cuộc tấn công an ninh mạng gần đây hơn, thảo luận về tác động của chúng đối với doanh nghiệp, người dùng và nạn nhân, sau đó xem xét cách chúng có thể được ngăn chặn hoặc giảm thiểu.

Có nhiều ví dụ về các vụ vi phạm gần đây để lựa chọn. Đối với mỗi vụ vi phạm, chúng tôi sẽ chỉ ra loại tấn công cho phép vi phạm xảy ra. Danh sách này không có nghĩa là đại diện cho một cuộc khảo sát đầy đủ về tất cả các loại tấn công, vì vậy thay vào đó, chúng tôi sẽ hướng đến việc cung cấp một cuộc khảo sát nêu bật phạm vi và tác động của các vụ vi phạm an ninh mạng.

Kỹ thuật xã hội : Kỹ thuật xã hội là một dạng tấn công rộng trong đó kẻ tấn công thuyết phục hoặc thao túng nạn nhân cung cấp cho họ thông tin hoặc quyền truy cập mà họ không được phép.

Vào tháng 7 năm 2020, những kẻ tấn công đã sử dụng một kỹ thuật kỹ thuật xã hội có tên là spearphishing để truy cập vào (https://www.bbc.com/news/technology-53607374) một công cụ Twitter nội bộ cho phép chúng đặt lại mật khẩu của một số tài khoản nổi tiếng. Chúng đã sử dụng các tài khoản này để đăng tweet quảng cáo về một vụ lừa đảo Bitcoin. Tác động của cuộc tấn công này bao gồm tổn thất tài chính cho một số người dùng Twitter cụ thể, dữ liệu bị tiết lộ cho một số tài khoản nổi tiếng và tổn hại đến uy tín của chính Twitter.

Để hiểu được khả năng phòng ngừa và giảm thiểu, chúng ta cần hiểu cách thức và lý do tại sao cuộc tấn công xảy ra. Cuộc tấn công bắt đầu bằng lừa đảo qua điện thoại và kỹ thuật xã hội, cho phép kẻ tấn công lấy được thông tin xác thực của nhân viên và truy cập vào mạng nội bộ của Twitter. Điều này có thể đã được ngăn chặn nếu nhân viên được trang bị tốt hơn để nhận ra các cuộc tấn công kỹ thuật xã hội và lừa đảo qua điện thoại. Các biện pháp bảo vệ bổ sung có thể ngăn ngừa hoặc giảm thiểu cuộc tấn công này bao gồm hạn chế quyền truy cập vào các công cụ nội bộ nhạy cảm bằng cách sử dụng nguyên tắc đặc quyền tối thiểu và tăng cường giám sát hoạt động bất thường của người dùng.

Spear Scam là một dạng tấn công lừa đảo trực tuyến (scam) được thiết kế nhắm mục tiêu cụ thể đến từng cá nhân, tổ chức hoặc nhóm người dựa trên thông tin thu thập được trước đó. Đây là một biến thể của spear phishing, nhưng mục tiêu của spear scam thường tập trung vào việc lừa gạt tiền hoặc tài sản giá trị thay vì chỉ thu thập thông tin.

Đặc điểm của Spear Scam:

  1. Tùy chỉnh cá nhân:
    • Kẻ tấn công nghiên cứu kỹ về mục tiêu thông qua mạng xã hội, email công ty, hoặc các nguồn công khai khác.
    • Nội dung tin nhắn được cá nhân hóa cao để tạo sự tin tưởng, ví dụ như nhắc đến tên, chức vụ, hoặc các dự án cụ thể.
  2. Hình thức lừa đảo phổ biến:
    • Email giả mạo từ lãnh đạo: Yêu cầu chuyển khoản gấp hoặc cung cấp thông tin nhạy cảm.
    • Tin nhắn giả mạo đối tác: Mạo danh nhà cung cấp để yêu cầu thanh toán vào tài khoản giả.
    • Chiêu trò khẩn cấp: Gửi email hoặc tin nhắn có vẻ "quan trọng" để dụ nạn nhân hành động ngay.
  3. Mục tiêu:
    • Doanh nghiệp: Đánh cắp tiền từ quỹ hoặc khai thác thông tin mật.
    • Cá nhân: Lừa đảo tài chính hoặc trục lợi thông qua các giao dịch giả mạo.

Cách phòng tránh Spear Scam:

  • Kiểm tra kỹ nguồn gốc thông tin: Luôn xác nhận email hoặc tin nhắn qua một kênh liên lạc độc lập.
  • Đừng tin vào áp lực thời gian: Hầu hết các scam đều dùng chiêu "khẩn cấp" để bạn không có thời gian suy nghĩ.
  • Đào tạo nhận thức an ninh mạng: Trang bị kiến thức cho bản thân và tổ chức để phát hiện các dấu hiệu lừa đảo.

Lừa đảo : Lừa đảo là một loại tấn công tổng quát hơn so với Spear scam. Trong khi các cuộc tấn công Spear scam nhắm vào các cá nhân cụ thể, lừa đảo thường được thực hiện trên diện rộng. Chiến lược lừa đảo thường được thực hiện bằng cách gửi một thông tin liên lạc độc hại đến càng nhiều người càng tốt, làm tăng khả năng nạn nhân nhấp vào liên kết hoặc thực hiện hành động nào đó có thể gây nguy hiểm cho bảo mật.

Vào tháng 9 năm 2021, một công ty con của Toyota đã thừa nhận rằng họ đã trở thành nạn nhân của một vụ lừa đảo qua email doanh nghiệp (BEC). Vụ lừa đảo này đã dẫn đến việc chuyển 4 tỷ Yên (JPY), tương đương khoảng 37 triệu USD, vào tài khoản của kẻ lừa đảo. Cuộc tấn công này xảy ra vì một nhân viên đã bị thuyết phục thay đổi thông tin tài khoản liên quan đến một loạt các khoản thanh toán.

Cục Điều tra Liên bang Hoa Kỳ (FBI) khuyến nghị thực hiện những bước sau và các bước khác để ngăn ngừa BEC:

  • Xác minh tính hợp pháp của bất kỳ yêu cầu thanh toán, mua hàng hoặc thay đổi thông tin tài khoản hoặc chính sách thanh toán nào trực tiếp.
  • Nếu không thể thực hiện cách này, hãy xác minh tính hợp pháp qua điện thoại.
  • Hãy cẩn thận với những yêu cầu có tính cấp bách.
  • Kiểm tra cẩn thận địa chỉ email và URL trong email liên lạc.
  • Không mở tệp đính kèm trong email từ những người mà bạn không biết.
  • Kiểm tra cẩn thận địa chỉ email của người gửi trước khi trả lời.

Ransomware : Ransomware là một loại phần mềm độc hại lây nhiễm vào hệ thống máy tính và sau đó khóa người dùng hợp pháp không cho truy cập vào máy tính một cách bình thường. Thông thường, người dùng sẽ được kẻ tấn công liên hệ và yêu cầu tiền chuộc để mở khóa máy hoặc tài liệu của họ.

Vào tháng 5 năm 2021, một sự cố ransomware đã xảy ra tại Colonial Pipeline , một công ty dầu mỏ lớn của Mỹ. Cuộc tấn công đã dẫn đến việc gián đoạn phân phối nhiên liệu trong nhiều ngày. Cuộc tấn công này dẫn đến mất dữ liệu của công ty, dừng phân phối nhiên liệu, hàng triệu đô la tiền thanh toán ransomware, giá nhiên liệu tăng và lo ngại về tình trạng thiếu hụt nhiên liệu.

Trong cuộc tấn công này, tin tặc đã truy cập vào mạng lưới của Colonial Pipeline bằng một mật khẩu bị xâm phạm duy nhất. Cuộc tấn công này có thể đã được ngăn chặn hoặc ít nhất là ít có khả năng xảy ra hơn bằng cách đảm bảo MFA được bật trên tất cả các tài nguyên trên internet, cũng như bằng cách cấm sử dụng lại mật khẩu.

Lạm dụng thông tin xác thực : Lạm dụng thông tin xác thực có thể xảy ra khi kẻ tấn công có được thông tin xác thực hợp lệ, cho phép chúng đăng nhập vào máy móc hoặc dịch vụ mà nếu không chúng sẽ không thể. Thông thường, kẻ tấn công có thể đoán được mật khẩu người dùng vì chúng có thể dự đoán được hoặc yếu.

Vào tháng 12 năm 2020 , một loạt các bản cập nhật độc hại đã được phát hiện trong nền tảng SolarWinds Orion, một công cụ giám sát và quản lý cơ sở hạ tầng. Các bản cập nhật độc hại này cho phép phần mềm độc hại được cài đặt trên môi trường của bất kỳ khách hàng SolarWinds nào đã cài đặt bản cập nhật này và dẫn đến sự xâm phạm của một số khách hàng này, bao gồm các trường đại học, cơ quan chính phủ Hoa Kỳ và các tổ chức lớn khác.

Là một cuộc tấn công chuỗi cung ứng, cuộc tấn công này đã ảnh hưởng đến khoảng 18.000 khách hàng của SolarWinds và dẫn đến vi phạm của một nhóm khách hàng bao gồm các cơ quan chính phủ và các công ty lớn khác. Theo cựu CEO của SolarWinds Kevin Thompson, cuộc tấn công này là kết quả của một mật khẩu yếu vô tình bị tiết lộ công khai trên GitHub. Cuộc tấn công này có thể được ngăn chặn bằng cách đảm bảo rằng mật khẩu đủ mạnh và bằng cách theo dõi internet để tìm ra các bí mật bị rò rỉ. CISA cũng tuyên bố rằng cuộc tấn công này có thể được giảm thiểu bằng cách chặn lưu lượng truy cập internet đi từ các máy chủ SolarWinds Orion.

Bỏ qua xác thực : Trong khi Lạm dụng thông tin xác thực cho phép kẻ tấn công đăng nhập vào dịch vụ bằng các phương tiện hợp pháp, thì Bỏ qua xác thực có thể cho phép kẻ tấn công bỏ qua hoặc bỏ qua các giao thức xác thực đã định.

Tương tự như cuộc tấn công SolarWinds ở trên, vào ngày 2 tháng 7 năm 2021, một cuộc tấn công đã được phát hiện lợi dụng lỗ hổng trong công cụ quản lý từ xa VSA của nhà cung cấp phần mềm Kaseya. Những kẻ tấn công đã có thể bỏ qua hệ thống xác thực của công cụ từ xa để cuối cùng đẩy ransomware REvil từ máy chủ Virtual System Administrator (VSA) của khách hàng bị xâm phạm đến các điểm cuối thông qua bản cập nhật độc hại.

Vì cuộc tấn công này nhắm vào một số Nhà cung cấp dịch vụ được quản lý (MSP), phạm vi tiềm năng của nó không chỉ bao gồm khách hàng MSP của Kaseya mà còn bao gồm khách hàng của các MSP đó. Theo Brian Krebs , lỗ hổng này đã được biết đến ít nhất ba tháng trước sự cố ransomware này. Cuộc tấn công này có thể được ngăn chặn bằng cách ưu tiên và sửa các lỗ hổng đã biết một cách khẩn cấp và kịp thời.

Share on Facebook
Share on Twitter

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *